Procedure meldplicht datalekken

Wet meldplicht datalekken

Per 1 januari 2016 is de meldplicht van datalekken aangescherpt (Art.34a Wbp). Dit houdt in dat iedereen zich bewust moet zijn van wat de gevolgen zijn van het lekken van data en welke rol hij of zij hierin heeft. Een overtreding van de wet kan een boete opleveren van 820.000 euro!

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging(als bedoeld in artikel13 Wbp) en leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Alle medewerkers zijn dan ook verplicht om werkgerelateerde gegevens te beveiligen tegen verlies en onrechtmatige verwerking.

Bij een datalek kun je denken aan:

  • Gestolen of verloren gegevensdragers of devices.
  • Verlies van gegevens door brand.
  • Inbraakdoor een hacker.
  • Malware-besmetting.

Een datalek melden

Een datalek moet gemeld worden bij de Voorzitter van de Kerkenraad. Hij zal in overleg met het moderamen en CBO een melding maken bij Autoriteit Persoonsgegevens.

Verschillende rollen

De Kerk heeft drie rollen ingericht om het melden van een datalek succesvol af te handelen:

Ontdekker:

Degene die het datalek op het spoor komt en het proces in werking moet stellen, jij als commissielied, kerklid en of betrokkene

Melder:

Degene die verantwoordelijk is voor het melden van het datalek bij de Autoriteit Persoonsgegevens, Voorzitter van de Kerkenraad

Technicus:

Degene die de oorzaak van het datalek kan vinden en kan (laten) repareren, de systeembeheerder van de kerk.

Werkwijze melding datalekken In het leven van een datalek zijn zes fasen te onderscheiden:

1.Ontdekken

De ontdekker merkt een datalek op. Bijvoorbeeld via eigen waarneming of een klacht van een kerk- of commissielid. De ontdekker vergaart zoveel mogelijk informatie over het datalek en zet het proces in werking waardoor deze informatie ten minste bij de melder terechtkomt.

2.Inventariseren

De melder op zijn beurt, beoordeelt of er voldoende informatie omtrent het datalek bekend is. Zo niet, dan zet hij aanvullende vragen uit.

3.Beoordelen

Wanneer melder voldoende informatie heeft verzameld, beoordeelt hij de feiten om te bepalen of een melding aan de Autoriteit Persoonsgegevens en/of betrokkenen vereist is.

4.Repareren

De technicus en of systeembeheerder zal moeten achterhalen wat de oorzaak van het lek is en deze moeten repareren.

5.Melden

Indien de conclusie bij stap 3 is dat er gemeld moet worden aan toezichthouder (eventueel betrokkenen), dan moet de melder dit doen.

6.Documenteren

De informatie die in de voorafgaande stappen is ingewonnen of ontstaan (bijvoorbeeld CBP-meldingsnummer, afschrift melding, brief aan betrokkenen) moeten worden gearchiveerd door de melder.